防火墻運(yùn)維指南(20210124210609)

1、集團(tuán)文件版本號(hào)：(M928-T898-M248-WU2669-I2896-DQ586-M1988)防火墻系統(tǒng)日常運(yùn)維指南VI. 00防火墻系統(tǒng)日常運(yùn)維指南一、每日例行維護(hù)1、系統(tǒng)管理員職責(zé)為保證防火墻設(shè)備的正常運(yùn)行，系統(tǒng)管理員需要在每日對(duì)設(shè)備進(jìn)行 例行檢查。系統(tǒng)管理員在上班后，登錄防火墻管理界面，查看系統(tǒng)的CPU、內(nèi)存 的使用率及網(wǎng)接口的工作狀態(tài)是否正常。確保CPU使用率在80%以下，內(nèi)存使用率85%以下：如出現(xiàn)CPU 及內(nèi)存使用率過高的情況，查看防火墻設(shè)備的會(huì)話連接總數(shù)、半 連接數(shù)以及端口流量是否正常。如果存在會(huì)話連接總數(shù)、半連接數(shù)、端口流量異常，超出平時(shí)的 正常范圍的情況下，可能是有人在進(jìn)

2、行ARP攻擊或蠕蟲攻擊，通 過會(huì)話管理查看各會(huì)話的連接情況，查找異常會(huì)話，并對(duì)其進(jìn)行 手動(dòng)阻斷。如果會(huì)話連接總數(shù)、半連接數(shù)及端口流量處在正常范 圍內(nèi)，但此時(shí)網(wǎng)絡(luò)訪問效率明顯變慢的情況下，重啟防火墻設(shè) 備。在管理界面中的網(wǎng)絡(luò)接口狀態(tài)正常情況下是綠色：如果工作端口 出現(xiàn)紅色的情況下，需要及時(shí)通知網(wǎng)絡(luò)管理員，配合查看交換機(jī) 與防火墻之間的端口鏈路是否正常。如交換機(jī)及線路都正常的情況下，重啟防火墻；如果還存在問題 請(qǐng)及時(shí)電話聯(lián)系廠商工程師。按照要求，添加新增的防護(hù)對(duì)象。2）安全管理員職責(zé)安全管理員在每日上班后定時(shí)（每日至少二次，9點(diǎn)、17點(diǎn)），通 過數(shù)據(jù)中心，查看日志是否存在高級(jí)別的告警日志（警示級(jí)別

3、以上）； 如果出現(xiàn)高級(jí)別告警日志，立即按以下步驟進(jìn)行處理：設(shè)備本身造成中高級(jí)別告警：高級(jí)別告警主要為設(shè)備本身的硬 件故障告警！處理方式如下：立即通知廠商工程師到達(dá)現(xiàn)場(chǎng)處理。處理完畢后，形成報(bào)告，并發(fā)送主管領(lǐng)導(dǎo)。網(wǎng)絡(luò)故障造成的中高級(jí)別告警：網(wǎng)絡(luò)負(fù)載過大?。ˋRP攻擊，蠕 蟲等）處理方式如下：分析會(huì)話記錄，查詢可疑會(huì)話，協(xié)同系統(tǒng)管理員阻斷可疑會(huì)話的 源地址。查出源地址后，應(yīng)立即安排相關(guān)技術(shù)人員到現(xiàn)場(chǎng)處理問題機(jī)器。 問題機(jī)潛處理完畢后，形成處理報(bào)告，分析此次高告警事件的原 因，并發(fā)送主管領(lǐng)導(dǎo)（主管室主任、主管副部長(zhǎng)）。（下同） 網(wǎng)絡(luò)攻擊行為造成的中高級(jí)別告警：如IP掃描，端口掃描等 防火墻一般會(huì)自動(dòng)

4、阻斷該連接，并同時(shí)生成告警日志。此類告警，安全管理員需分析告警日志，查詢?cè)碔P地址，并安 排相關(guān)技術(shù)人員到達(dá)現(xiàn)場(chǎng)處理問題機(jī)器。問題機(jī)器處理完畢后，形成處理報(bào)告，分析此次高告警事件的原 因，并發(fā)送主管領(lǐng)導(dǎo)。3）審計(jì)員職責(zé)1）審計(jì)員應(yīng)每周五登陸系統(tǒng)，查看系統(tǒng)審計(jì)日志，查看是否有異常 管理員登陸行為。2）系統(tǒng)發(fā)生異常時(shí)，審計(jì)員應(yīng)立即登陸系統(tǒng)，查看系統(tǒng)審計(jì)日志， 并分析是否有管理員的異常系統(tǒng)配置信息。二、周期性維護(hù)工作在防火墻設(shè)備的運(yùn)行過程中，需要定期對(duì)設(shè)備進(jìn)行維護(hù)。1、系統(tǒng)管理員職責(zé)每星期（周五）對(duì)IPS、AV的特征碼模塊進(jìn)行升級(jí)（至相關(guān)網(wǎng) 站，如有最新的版本，下載后手動(dòng)升級(jí)）。升級(jí)完成后，在“系統(tǒng)

5、管理一維護(hù)一備份恢復(fù)”界面，選擇 “防病毒入侵防御配置導(dǎo)出"，進(jìn)行配置備份。每月，系統(tǒng)管理員需對(duì)本月防火墻系統(tǒng)發(fā)生的升級(jí)及變化情況 進(jìn)行匯總，并提交主管領(lǐng)導(dǎo)。2、安全管理員職責(zé)每星期（周五）登陸數(shù)據(jù)中心，通過報(bào)表工具生成本周口志事 件報(bào)表，并導(dǎo)出保存。同時(shí)需對(duì)其中高級(jí)別告警信息進(jìn)行統(tǒng)計(jì) 分析。每星期（周五）查看數(shù)據(jù)中心數(shù)據(jù)庫的磁盤空間占用情況是否 正常，如磁盤空間不足，應(yīng)及時(shí)將磁盤的系統(tǒng)自動(dòng)備份的日志 文件轉(zhuǎn)移到其他的存儲(chǔ)設(shè)備上。日志管理員在每個(gè)口志備份周期到期的后一天應(yīng)查看日志的自 動(dòng)備份工作是否正常，如果出現(xiàn)不正常的情況，應(yīng)及時(shí)對(duì)日志 進(jìn)行手動(dòng)備份。及時(shí)查找無法自動(dòng)備份的原因，是

6、否是由于磁盤空間不足無法 備份。如果不是由于磁盤空間不足造成，則有可能是由于PC 服務(wù)器時(shí)間運(yùn)行造成日志服務(wù)器相關(guān)進(jìn)程異常造成的，需要重 啟日志服務(wù)器。每月，安全管理員需對(duì)本月防火墻上的日志通過報(bào)表工具生成 本月事件報(bào)表，并導(dǎo)出保存，同時(shí)，需要對(duì)高級(jí)級(jí)別以上告警 信息進(jìn)行統(tǒng)計(jì)，形成分析報(bào)告后，提交主管領(lǐng)導(dǎo)。3、審計(jì)員職責(zé)每星期（周五）登陸登陸數(shù)據(jù)中心，通過報(bào)表工具，生成本周 配置審計(jì)事件報(bào)表，并導(dǎo)出保存。三、不定期維護(hù)工作1、系統(tǒng)管理員職責(zé)根據(jù)需求增添防護(hù)對(duì)象。配置發(fā)生變化后，及時(shí)保存配置信息。系統(tǒng)管理員對(duì)設(shè)備進(jìn)行了恢復(fù)備份配置文件的操作后，應(yīng)立刻將防火墻設(shè)備是行重啟，使備份的配置文件能夠生效

7、。2、安全管理員職責(zé)根據(jù)安全需要，對(duì)安全防護(hù)策略作出調(diào)整。安全策略調(diào)整后，通知系統(tǒng)管理員進(jìn)行配置備份。安全產(chǎn)品（防火墻）日常檢查記錄單設(shè)備名稱（天融信）防火墻系統(tǒng)管理 員檢查日期安全管理 員檢查內(nèi)容（系統(tǒng)管理員）序號(hào)檢查項(xiàng)正常值正常不正常處理辦法1端口狀態(tài)綠色2CPU使用 率<80%3MEM使用 率<85%故障處理記錄 記錄：檢查內(nèi)容（安全管理員）序號(hào)檢查項(xiàng)正常值正常不正常處理辦法1口志服務(wù) 器連接情 況可ping通在口志服務(wù)器防 火墻上設(shè)置允許 ping的策略2日志級(jí)別無錯(cuò)誤以 上級(jí)別告 警3口志服務(wù) 器狀態(tài)正?？刹?詢異常處理記錄記錄：日志服務(wù)器無法ping通，通過抓包分析發(fā)現(xiàn)

8、，ping請(qǐng)求包能夠達(dá)到日志 服務(wù)器網(wǎng)卡，但是日志服務(wù)器未作出響應(yīng)，通過檢查日志服務(wù)器設(shè)置發(fā) 現(xiàn)，是日志服務(wù)器開啟了防火墻，但是防火墻禁止了 icmp報(bào)文，設(shè)置日志 服務(wù)器的防火墻策略后，問題得以解決。四、周記錄檢查五、月報(bào) 維護(hù)建議常規(guī)維護(hù) 1、配置管理IP地址，指定專用終端管理防火墻；2、更改默認(rèn)賬號(hào)和口令，不建議使用缺省的賬號(hào)、密碼管理防火墻；嚴(yán) 格按照實(shí)際使用需求開放防火墻的相應(yīng)的管理權(quán)限，并且管理權(quán)限的開 放控制粒度越細(xì)越安全；設(shè)置兩級(jí)管理員賬號(hào)并定期變更口令；僅容許 使用SSH和SSL方式登陸防火墻進(jìn)行管理維護(hù)。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征，持續(xù)優(yōu)化防火墻策略。整理出 完整

9、網(wǎng)絡(luò)環(huán)境視圖（網(wǎng)絡(luò)端口、互聯(lián)地址、防護(hù)網(wǎng)段、網(wǎng)絡(luò)流向、策略 表、應(yīng)用類型等），以便網(wǎng)絡(luò)異常時(shí)快速定位故障。4、整理一份上下行交換機(jī)配置備份文檔（調(diào)整其中的端口地址和路由指 向），提供備用網(wǎng)絡(luò)連線。防止防火墻發(fā)生硬件故障時(shí)能夠快速旁路防 火墻，保證業(yè)務(wù)正常使用。5、在日常維護(hù)中建立防火墻資源使用參考基線，為判斷網(wǎng)絡(luò)異常提供參 考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個(gè)故障告警信息，在第一時(shí)間修復(fù)故障 隱患。7、建立設(shè)備運(yùn)行檔案，為配置變更、事件處理提供完整的維護(hù)記錄，定 期評(píng)估配置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練：日常維護(hù)工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能 出現(xiàn)的問題和應(yīng)對(duì)措施，條件允許

10、情況下，可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生 各類故障時(shí)的處理流程，如：設(shè)備出現(xiàn)故障，網(wǎng)線故障及交換機(jī)故障時(shí) 的路徑保護(hù)切換。應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流 量，定位故障是否與防火墻有關(guān)。如果故障與防火墻有關(guān)，可首先檢查 防火墻的、地址轉(zhuǎn)換策略、訪問控制策略、路由等是否按照實(shí)際使用需 求配置，檢驗(yàn)策略配置是否存在問題。一旦定位防火墻故障，可通過命 令進(jìn)行雙機(jī)切換，單機(jī)環(huán)境下發(fā)生故障時(shí)利用備份的交換機(jī)/路由器配 置，快速旁路防火墻。在故障明確定位前不要關(guān)閉防火墻。1、 檢查設(shè)備運(yùn)行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)快速判斷防火墻設(shè)備運(yùn)行狀態(tài)，通過管理器登陸 到防火墻上，快速查看CPU

11、、內(nèi)存、連接數(shù)、Interface以及相應(yīng)信息， 初步排除防火墻硬件故障并判斷是否存在攻擊行為。2、 跟蹤防火墻對(duì)數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡(luò)無法正常訪問，順序檢查接口狀態(tài)、路由和策略配 置是否有誤，在確認(rèn)上述配置無誤后，通過tcpdump命令檢查防火墻對(duì) 特定網(wǎng)段數(shù)據(jù)報(bào)處理情況。部分地址無法通過防火墻往往與策略配置有 關(guān)。3、 檢查是否存在攻擊流量通過實(shí)時(shí)監(jiān)控確認(rèn)是否有異常流量，同時(shí)在上行交換機(jī)中通過端口鏡 像捕獲進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，據(jù)此確認(rèn)異常流量和攻擊類型，并在選項(xiàng)設(shè) 置、入侵防護(hù)等項(xiàng)目中啟用對(duì)應(yīng)防護(hù)措施來屏蔽攻擊流量。4、 檢查HA工作狀態(tài)檢查HA工作狀態(tài)，進(jìn)一步確認(rèn)引起切換的原因，引起HA切換原因通 常為鏈路故障，交換機(jī)端口故障，設(shè)備斷電或重啟。設(shè)備運(yùn)行時(shí)務(wù)請(qǐng)不 要斷開HA心跳線纜。5、 防火墻發(fā)生故障時(shí)處理方法如果出現(xiàn)以下情況可初步判斷防火墻硬件或系統(tǒng)存在故障：無法使用 console 口登陸防火墻，防火墻反復(fù)啟動(dòng)、無法建立ARP表、接口狀態(tài)始 終為Down、無法進(jìn)行配置調(diào)整等現(xiàn)象。為快速恢復(fù)業(yè)務(wù)，可通過調(diào)整上 下行設(shè)備路由指向，快速將防火墻旁路，同時(shí)聯(lián)系供應(yīng)商進(jìn)行故障診 斷。總結(jié)改進(jìn) 故障處理后的總結(jié)與改進(jìn)是